Aracılığıyla paylaş

Merkez-uç ağ topolojisi

  • Makale

Merkez-uç , ortak iletişim veya güvenlik gereksinimlerini verimli bir şekilde yönetmeye yönelik bir ağ modelidir. Ayrıca Azure abonelik sınırlamalarından da kaçınmanıza yardımcı olur. Bu modelde aşağıdaki sorunlar çözümlenir:

  • Maliyetlerden tasarruf ve verimli yönetim: Ağ sanal gereçleri (NVA' lar) ve DNS sunucuları gibi birden çok iş yükü tarafından paylaşılabilen hizmetleri merkezileştirin. Bt, hizmetler için tek bir konumla yedekli kaynakları ve yönetim çalışmalarını en aza indirgeyebilir.

  • Abonelik sınırlarını aşma: Büyük bulut tabanlı iş yükleri, tek bir Azure aboneliğinin içerdiğinden daha fazla kaynak kullanılmasını gerektirebilir. İş yükü sanal ağlarını farklı aboneliklerden merkezi bir merkeze eşleyerek bu limitleri ortadan kaldırabilirsiniz. Daha fazla bilgi için bkz . Azure abonelik sınırları.

  • Sorun ayrımı oluşturma: Merkezi BT ekipleri ve iş yükü ekipleri arasında tek tek iş yükleri dağıtabilirsiniz.

Daha küçük bulut varlıkları, bu modelin sunduğu ek yapı ve özelliklerden yararlanamayabilir. Ancak, daha büyük bulutu benimseme çabalarıyla ilgili önceden listelenmiş olan endişelerden herhangi biri varsa merkez-uç ağ mimarisinin uygulanması düşünülmelidir.

Not

Azure başvuru mimarileri sitesi, kendi merkez-uç ağlarınızı uygulamak için temel olarak kullanabileceğiniz örnek şablonlar içerir:

Genel bakış

Merkez-uç ağ topolojisi örneğini gösteren diyagram.

Şekil 1: Merkez-uç ağ topolojisi örneği.

Azure, diyagramda gösterildiği gibi iki tür merkez-uç tasarımını destekler. İlk tür iletişimi, paylaşılan kaynakları ve merkezi güvenlik ilkesini destekler. Bu tür diyagramda sanal ağ hub'ı olarak etiketlenmiştir. İkinci tür, diyagramda Sanal WAN olarak etiketlenen Azure Sanal WAN temel alır. Bu tür, büyük ölçekli daldan dala ve daldan Azure'a iletişimler içindir.

Merkez, bölgeler (İnternet, şirket içi ve uçlar) arasındaki giriş veya çıkış trafiğini denetleyen ve inceleyen merkezi bir ağ bölgesidir. Merkez-uç topolojisi, BT departmanınıza merkezi konumda güvenlik ilkelerini uygulamaya yönelik etkili bir yol sağlar. Ayrıca, yanlış yapılandırma ve risklere maruz kalma olasılığını da azaltır.

Merkezde genellikle uçlar tarafından kullanılan ortak hizmet bileşenleri bulunur. Yaygın merkezi hizmetlere örnek olarak şunlar verilebilir:

  • Dns hizmeti, Azure DNS kullanılmıyorsa şirket içindeki ve İnternet'teki kaynaklara erişmek için uçlardaki iş yükünü adlandırmayı çözümler.
  • Ortak anahtar altyapısı, iş yükleri için çoklu oturum açma uygular.
  • TCP ve UDP trafik akışı uç ağ bölgeleri ile İnternet arasında denetlenilir.
  • Akış, uçlarla şirket içi arasında kontrol edilir.
  • Akış, gerekirse bir uç ile başka bir uç arasında kontrol edilir.

Birden çok uç desteklemek üzere paylaşılan merkez altyapısını kullanarak yedekliliği en aza indirebilir, yönetimi basitleştirebilir ve genel maliyeti azaltabilirsiniz.

Her uç rolü farklı iş yükü türlerini barındırabilir. Uçlar ayrıca aynı iş yüklerinin yinelenebilir dağıtımlarına yönelik modüler bir yaklaşım sağlar. Geliştirme/test, kullanıcı kabul testi, hazırlama ve üretim örnekleri verilebilir.

Uçlar ayrıca, kuruluşunuzdaki farklı grupları da ayırt edebilir ve etkinleştirebilir. Azure DevOps grupları buna bir örnektir. Uç içinde, temel iş yükü dağıtmak veya katmanlar arasında trafik denetimiyle karmaşık, çok katmanlı iş yüklerini dağıtmak mümkündür.

Yukarıdaki diyagramda gösterilen Application Gateway, daha iyi yönetim ve ölçeklendirme için hizmet veren uygulamayla uçta yaşayabilir. Ancak, şirket ilkesi Application Gateway'i merkezi yönetim ve görev ayrımına yönelik hub'a yerleştirmenizi dikte edebilir.

Abonelik limitleri ve birden çok merkez

Azure'da her bileşen türü bir Azure aboneliğinde dağıtılır. Farklı Azure aboneliklerindeki Azure bileşenlerinin yalıtımı, farklı erişim ve yetkilendirme düzeylerini ayarlama gibi farklı iş kolu gereksinimlerini karşılayabilir.

Tek bir merkez-uç uygulaması çok sayıda uç ölçeğini artırabilir, ancak her BT sisteminde olduğu gibi platform sınırları vardır. Merkez dağıtımı, kısıtlama ve limitlere sahip belirli bir Azure aboneliğine bağlıdır. Örneklerden biri, sanal ağ eşlemesi sayısı üst sınırıdır. Daha fazla bilgi için bkz . Azure aboneliği ve hizmet sınırları.

Sınırlar sorun olabileceğinde, modeli bir merkez ve uç kümesine genişleterek mimarinin ölçeğini artırabilirsiniz. Aşağıdakini kullanarak bir veya daha fazla Azure bölgesinde birden çok hub'a bağlanabilirsiniz:

  • Sanal ağ eşleme
  • Azure ExpressRoute
  • Azure Sanal WAN
  • Siteler arası VPN

Merkez ve uç kümesini gösteren diyagram.

Şekil 2: Merkez ve uç kümesi.

Birden çok merkez bulunması sistemin maliyet ve yönetim yükünü artırır. Bu artış yalnızca aşağıdakiler tarafından gerekçelendirilir:

  • Ölçeklenebilirlik
  • Sistem sınırları
  • Kullanıcı performansı veya olağanüstü durum kurtarma için yedeklilik ve bölgesel çoğaltma

Birden çok hub gerektiren senaryolarda, tüm hub'lar operasyonel kolaylık için aynı hizmet kümesini sunmaya çalışmalıdır.

Uçlar arasında bağlantı

Karmaşık çok katmanlı iş yüklerini tek uçta uygulamak mümkündür. Akışları filtrelemek amacıyla aynı sanal ağdaki alt ağları (her katman için bir tane) ve ağ güvenlik gruplarını kullanarak çok katmanlı yapılandırmalar uygulayabilirsiniz.

Bir mimar, birkaç sanal ağa çok katmanlı bir iş yükü dağıtmak isteyebilir. Uçlar, sanal ağ eşlemesi ile aynı merkezdeki veya farklı merkezlerdeki diğer uçlara bağlanabilir.

Uygulama işleme sunucularının bir uçta veya sanal ağda bulunduğu durum bu senaryo için tipik bir örnektir. Veritabanı farklı uçta veya sanal ağda dağıtılır. Bu durumda, uçları sanal ağ eşlemesi ile birbirine bağlamak ve merkez üzerinden geçişleri önlemek kolay olur. Hub'ı atlamanın yalnızca hub'da bulunan önemli güvenlik veya denetim noktalarını atlamadığından emin olmak için dikkatli bir mimari ve güvenlik incelemesi yapın.

Birbirine ve hub'a bağlanan uçların bir örneğini gösteren diyagram.

Şekil 3: Birbirine ve hub'a bağlanan uçların bir örneği.

Uçlar ayrıca merkez gibi davranan bir uca da bağlanabilir. Bu yaklaşım iki düzeyli bir hiyerarşi oluşturur: daha üst düzey olan düzey 0'daki uç, hiyerarşinin alt uçlarının merkezi veya düzey 1 olur. Uçların trafiği merkezi merkeze iletmesi gerekir. Bu gereksinim, trafiğin şirket içi ağda veya genel İnternet'te hedefine geçebilmesidir. İki merkez düzeyi olan mimari, basit merkez-uç ilişkisinin avantajlarını ortadan kaldıran karmaşık bir yönlendirme sağlar.

Not

Bağlantı ve güvenlik denetimlerinin merkezi yönetimi için mevcut merkez ve uç sanal ağ topolojilerini oluşturmak veya eklemek için Azure Sanal Ağ Manager'ı (AVNM) kullanabilirsiniz.

Bağlantı yapılandırması, uç sanal ağları arasında doğrudan bağlantı da dahil olmak üzere bir ağ veya merkez-uç ağ topolojisi oluşturmanıza olanak tanır.

Güvenlik yapılandırması, genel düzeyde bir veya daha fazla ağ grubuna uygulayabileceğiniz bir kural koleksiyonu tanımlamanızı sağlar.

Sonraki adımlar

Ağ iletişimi için en iyi yöntemleri keşfettiyseniz kimlik ve erişim denetimlerine nasıl yaklaşacağınızı öğrenin.

Kimlik Yönetimi ve erişim denetimi güvenlik için en iyi yöntemler